电子邮件策略
从移动设备安全访问电子邮件是任何组织的移动管理计划背后的主要驱动因素之一。决定适当的电子邮件策略通常是任何端点管理设计的关键组成部分。端点管理根据安全性、用户体验和集成需求提供了几个选项来适应不同的用例。本文介绍了典型的设计决策过程和选择正确解决方案的注意事项,从客户端选择到邮件通信流。
选择电子邮件客户端
客户选择通常是整个电子邮件策略设计的首要任务。您可以从几个客户端中进行选择:Citrix Secure Mail,特定移动平台操作系统中包含的本地邮件,或通过公共应用程序商店提供的其他第三方客户端。根据您的需要,您可以使用单个(标准)客户机来支持用户社区,或者您可能需要使用客户机的组合。
下表概述了不同客户端可用选项的一些设计考虑因素:
| 主题 | 安全邮件 | 原生(例如iOS Mail) | 第三方邮件 |
| 配置 | 交换通过MDX策略配置的帐户配置文件。 | 通过MDM策略配置的Exchange帐户概要文件。Android支持仅限于:Knox和Android Enterprise。所有其他客户端都被视为第三方客户端。 | 一般需要用户手工配置。 |
| 安全 | 安全设计,提供最高的安全性。使用添加了数据加密级别的MDX策略。安全邮件是一个通过MDX策略完全管理的应用程序。增加了使用Citrix PIN的认证层。 | 基于供应商/应用程序的功能集。提供更高的安全性。使用设备加密设置。依赖于设备级身份验证来访问应用程序。 | 基于供应商/应用程序的功能集。提供高安全性。 |
| 集成 | 默认情况下允许与托管(MDX)应用程序交互。使用Citrix Secure web打开web url。将文件保存到Citrix files并从Citrix files附加文件。直接加入并拨号到GoToMeeting。 | 默认情况下只能与其他非托管(非mdx)应用程序交互。 | 默认情况下只能与其他非托管(非mdx)应用程序交互。 |
| 部署/许可 | 您可以直接从公共应用程序商店通过MDM推送安全邮件。包括端点管理高级和企业许可。 | 客户端应用程序包含平台操作系统。没有额外的许可要求。 | 可以通过MDM推送,作为企业应用程序或直接从公共应用程序商店推送。基于应用供应商的相关许可模式/成本。 |
| 支持 | 单一供应商支持客户端和EMM解决方案(Citrix)。在安全集线器/应用程序调试日志功能中嵌入支持联系信息。支持一个客户端。 | 供应商定义的支持(Apple/谷歌)。可能需要根据设备平台支持不同的客户端。 | 供应商定义的支持。假设在所有受管理的设备平台上都支持第三方客户端,则需要支持一个客户端。 |
邮件通信流和过滤注意事项
本节讨论端点管理上下文中有关邮件(ActiveSync)流量的三个主要场景和设计注意事项。
场景1:公开的交换
支持外部客户机的环境通常将Exchange ActiveSync服务公开给internet。移动ActiveSync客户端通过反向代理(例如Citrix Gateway)或边缘服务器通过这个面向外部的路径进行连接。使用本机或第三方邮件客户端需要此选项,因此这些客户端是此场景的流行选择。虽然不是常见的做法,但您也可以在此场景中使用安全邮件客户端。通过这样做,您可以从使用MDX策略和应用程序管理所提供的安全特性中受益。
场景2:通过Citrix网关隧道(micro VPN + STA)
在使用安全邮件客户端时,由于其微型VPN功能,此场景是默认的。在这种情况下,安全邮件客户端通过Citrix Gateway建立到ActiveSync的安全连接。实际上,您可以将安全邮件视为从内部网络直接连接到ActiveSync的客户机。Citrix客户通常将安全邮件作为移动ActiveSync客户端的选择进行标准化。该决定是避免在公开的Exchange Server上向internet公开ActiveSync服务的举措的一部分,如第一个场景所述。
只有启用了MAM SDK或封装了mdx的应用才能使用micro VPN功能。如果使用MDX包装,则此场景不适用于本机客户机。尽管可以用MDX Toolkit包装第三方客户机,但这种做法并不常见。使用设备级VPN客户端来允许本机或第三方客户端进行隧道访问已被证明是非常麻烦的,并且不是一个可行的解决方案。
场景3:云托管Exchange服务
云托管的Exchange服务,如Microsoft Office 365,正变得越来越流行。在端点管理上下文中,可以用与第一个场景相同的方式处理此场景,因为ActiveSync服务也公开给internet。在这种情况下,云服务提供商的需求决定了客户端的选择。这些选择通常包括对大多数ActiveSync客户机的支持,例如Secure Mail和其他本地或第三方客户机。
端点管理可以在此场景的三个方面增加价值:
- 客户端与MDX策略和应用程序管理与安全邮件
- 在受支持的本机电子邮件客户机上使用MDM策略进行客户机配置
- 使用Exchange ActiveSync的端点管理连接器进行ActiveSync过滤选项
邮件流量过滤注意事项
与公开到internet的大多数服务一样,您必须保护路径并为授权访问提供过滤。端点管理解决方案包括两个专门为本地和第三方客户端提供ActiveSync过滤功能而设计的组件:用于Exchange ActiveSync的Citrix网关连接器和用于Exchange ActiveSync的端点管理连接器。
用于Exchange ActiveSync的Citrix网关连接器
用于Exchange ActiveSync的Citrix网关连接器通过使用Citrix网关作为ActiveSync流量的代理,在外围提供ActiveSync过滤。因此,过滤组件位于邮件通信流的路径上,在邮件进入或离开环境时拦截邮件。用于Exchange ActiveSync的连接器充当Citrix Gateway和Endpoint Management之间的中介。当设备通过Citrix网关上的ActiveSync虚拟服务器与Exchange通信时,Citrix网关会对Exchange ActiveSync服务的连接器进行HTTP回调。然后,该服务使用端点管理检查设备状态。根据设备的状态,用于Exchange ActiveSync的连接器响应Citrix Gateway以允许或拒绝连接。还可以配置静态规则,根据用户、代理和设备类型或ID过滤访问。
这种设置允许将Exchange ActiveSync服务暴露在internet上,并增加了一层安全层,以防止未经授权的访问。设计考虑因素包括:
- Windows服务器:Exchange ActiveSync组件的连接器需要Windows Server。
- 过滤规则集:Exchange ActiveSync的连接器设计用于基于设备状态和信息(而不是用户信息)进行过滤。虽然可以将静态规则配置为按用户ID进行过滤,但不存在基于Active Directory组成员关系进行过滤的选项。如果需要对Active Directory组进行筛选,则可以使用Exchange ActiveSync的端点管理连接器。
- Citrix网关可扩展性:考虑到通过Citrix网关代理ActiveSync流量的需求:适当的Citrix网关实例大小对于支持所有ActiveSync SSL连接的增加工作负载至关重要。
- Citrix网关集成缓存:Citrix网关上用于Exchange ActiveSync配置的连接器使用集成缓存功能缓存来自连接器的响应。这样配置的结果是,Citrix Gateway不需要为给定会话中的每个ActiveSync事务向连接器发出请求。这种配置对于足够的性能和规模也是至关重要的。集成缓存与Citrix网关白金版一起提供。
- 自定义过滤策略:您可能需要创建自定义Citrix Gateway策略来限制标准本地移动客户端之外的某些ActiveSync客户端。此配置需要了解ActiveSync HTTP请求和Citrix Gateway响应器策略创建。
- 安全邮件客户端:安全邮件具有微型VPN功能,从而消除了在外围进行过滤的需要。当通过Citrix Gateway连接时,安全邮件客户端通常被视为内部(受信任的)ActiveSync客户端。如果需要同时支持本机和第三方客户端(使用用于Exchange ActiveSync的连接器)和安全邮件客户端:Citrix建议安全邮件流量不通过用于该连接器的Citrix Gateway虚拟服务器。您可以通过DNS完成此通信流,并防止连接器策略影响安全邮件客户端。
有关Endpoint Management部署中用于Exchange ActiveSync的Citrix Gateway连接器示意图,请参见体系结构.
用于Exchange ActiveSync的端点管理连接器
用于Exchange ActiveSync的端点管理连接器是一个端点管理组件,它在Exchange服务级别提供ActiveSync过滤。因此,过滤只在邮件到达交换服务时进行,而不是在邮件进入Endpoint Management环境时进行。邮件管理器使用PowerShell查询Exchange ActiveSync以获取设备合作伙伴关系信息,并通过设备隔离操作控制访问。这些操作根据Exchange ActiveSync规则标准的端点管理连接器将设备带入和退出隔离。
与用于Exchange ActiveSync的Citrix Gateway连接器类似,用于Exchange ActiveSync的连接器使用端点管理检查设备状态,以根据设备遵从性过滤访问。您还可以配置静态规则,以根据设备类型或ID、代理版本和Active Directory组成员资格过滤访问。
此解决方案不需要使用Citrix Gateway。您可以为Exchange ActiveSync部署连接器,而无需更改现有ActiveSync流量的路由。设计考虑因素包括:
- Windows服务器:Exchange ActiveSync的连接器要求您部署Windows Server。
- 过滤规则集:就像用于Exchange ActiveSync的Citrix Gateway连接器一样,用于Exchange ActiveSync的连接器包含用于评估设备状态的过滤规则。此外,用于Exchange ActiveSync的连接器还支持基于Active Directory组成员关系进行筛选的静态规则。
- 交换集成:用于Exchange ActiveSync的连接器需要直接访问承载ActiveSync角色的Exchange客户端访问服务器(CAS)并控制设备隔离操作。根据环境体系结构和安全状态,此需求可能会带来挑战。预先评估这个技术需求是至关重要的。
- 其他ActiveSync客户端:因为Exchange ActiveSync的连接器在ActiveSync服务级别进行过滤,所以请考虑端点管理环境之外的其他ActiveSync客户端。您可以为Exchange ActiveSync静态规则配置连接器,以避免对其他ActiveSync客户端产生意外影响。
- 扩展交换功能:通过与Exchange ActiveSync的直接集成,Exchange ActiveSync连接器为端点管理提供了在移动设备上执行Exchange ActiveSync擦除操作的能力。用于Exchange ActiveSync的连接器还允许端点管理访问有关黑莓设备的信息并执行其他控制操作。
有关端点管理部署中用于Exchange ActiveSync的端点管理连接器的关系图,请参见体系结构.
电子邮件平台决策树
下图帮助您区分在端点管理部署中使用本机电子邮件或安全邮件解决方案的优缺点。每个选择都允许关联的端点管理选项和需求,以启用服务器、网络和数据库访问。优点和缺点包括有关安全性、策略和用户界面注意事项的详细信息。
